Uwe - stock.adobe.com
Living-off-the-Land: Wenn legitime Tools zur Waffe werden
Wenn legitime IT-Tools wie SSH oder PowerShell missbraucht werden, bleiben Angriffe oft lange unbemerkt. Sichtbarkeit und schnelles Containment werden damit entscheidend.
Cyberangriffe werden nicht nur schneller, sondern vor allem unauffälliger. Viele Angreifer müssen heute keine auffällige Malware mehr einschleusen, um in Unternehmensnetzen handlungsfähig zu werden. Stattdessen nutzen sie genau jene Tools aus, auf die sich Unternehmen tagtäglich verlassen: PowerShell, Windows Management Instrumentation (WMI), SSH und andere Tools, die für Wartung, Automatisierung, Fernzugriff und Fehlerbehebung entwickelt wurden. Genau dieses Vertrauen macht die Tools für sogenannte Living-off-the-Land-Angriffe (LOTL) so attraktiv.
LOTL bezeichnet Angriffstechniken, bei denen Cyberangreifer native Betriebssystemfunktionen, legitime Administrationswerkzeuge und vorhandene Zugänge missbrauchen, um Systeme zu kompromittieren, zu erkunden, Berechtigungen auszuweiten, sich lateral zu bewegen oder Daten zu extrahieren. Eine Analyse von mehr als 700.000 Sicherheitsvorfällen aus dem Jahr 2025 ergab, dass bei 84 Prozent der größeren Angriffe LOTL-Techniken zum Einsatz kamen. Was lange als Vorgehen hochentwickelter APT-Gruppen galt, ist damit zum Standard moderner Cyberangriffe geworden. In modernen Umgebungen müssen Angreifer das System nicht mehr knacken. Sie müssen es lediglich besser nutzen als seine Verteidiger.
Der Angriff auf die Webplattform „Europa.eu“ der Europäischen Kommission veranschaulicht, wie attraktiv bestehende Cloud-, Web- und Zugriffsstrukturen für Angreifer geworden sind. Bei diesem Vorfall nutzten Angreifer einen gestohlenen AWS-API-Schlüssel aus und missbrauchten anschließend Standardfunktionen des Cloud-Managements, um ihre Berechtigungen zu erweitern und Daten zu exfiltrieren. Dabei stützten sie sich auf legitime Tools, anstatt Malware einzusetzen. Die entscheidende Frage, die sich Organisationen nun stellen müssen, lautet nicht einfach, ob ein Cyberangreifer eindringen können. Sondern was sie erreichen, bevor sie gestoppt werden.
Wenn einzelne Signale harmlos wirken
LOTL-Angriffe bringen klassische Sicherheitslogiken an ihre Grenzen, weil ihnen oft genau das fehlt, worauf viele Erkennungsmechanismen ausgelegt sind: eine verdächtige Datei, eine bekannte Signatur, ein klar bösartiges Binary. Ein einzelner PowerShell-Aufruf, eine SSH-Verbindung oder eine geplante Aufgabe ist im Normalbetrieb zunächst nicht auffällig. Erst der Kontext macht den Unterschied: Welches Konto stellt die Anfrage? Von welchem System? Zu welchem Ziel? In welcher Abfolge? Ohne diesen Kontext können böswillige Aktivitäten kaum von routinemäßiger Administration unterschieden werden.
Wer nur Einzelereignisse bewertet, sieht häufig nichts Alarmierendes. Nur wer Kommunikationsmuster, Identitäten, Workloads und Abhängigkeiten zusammendenkt, erkennt viel eher, wann aus Administration ein Angriff wird.
Hinzu kommt: Viele LOTL-Angriffe sind eng mit fileless malware verbunden. Befehle oder Skripte werden über vertrauenswürdige Tools gestartet und teilweise direkt im Arbeitsspeicher ausgeführt, ohne dauerhaft Dateien auf der Festplatte abzulegen. Das erschwert Erkennung und Forensik. Angreifer können dadurch über Tage, Wochen oder Monate in einer Umgebung verbleiben, Konten auskundschaften, interne Pfade kartieren und sich schrittweise geschäftskritischen Systemen nähern.
Laterale Bewegung entscheidet über den Schaden
Das kritische Element bei Cyberangriffen ist fast immer die laterale Bewegung. Nach dem initialen Zugriff bleiben Angreifer selten auf dem ersten kompromittierten System. Sie nutzen es als Sprungbrett, um weitere Server, Datenbanken, Workloads, Backup-Systeme oder Identitätsdienste zu erreichen. Auf Windows-Systemen können WMI, PsExec oder PowerShell für Remote-Ausführung und Erkundung missbraucht werden. In Linux- und Unix-Umgebungen übernehmen SSH, Bash, Cron oder systemd-nahe Mechanismen vergleichbare Rollen. In flachen Netzwerken wird aus einem einzelnen kompromittierten Zugang schnell ein unternehmensweites Risiko.
Hier zeigt sich die strukturelle Schwäche vieler IT-Umgebungen. Im Laufe der Zeit haben Unternehmen der Konnektivität und der betrieblichen Effizienz Vorrang eingeräumt, oft auf Kosten der Kontrolle. Die Kommunikationswege zwischen Systemen, Anwendungen und Diensten haben sich vervielfacht, werden jedoch nicht immer vollständig erfasst oder eingeschränkt. Das mag für den Betrieb praktisch gewesen sein, ist für Angreifer jedoch ideal. Wenn sich ein Angreifer Zugang verschafft, werden genau diese Wege zu den Routen, über die sich der Angriff ausbreitet.
Die naheliegende Antwort, häufig missbrauchte Tools einfach zu blockieren, greift zu kurz. PowerShell, SSH oder WMI pauschal zu verbieten, würde viele IT-Teams operativ lähmen. Diese Werkzeuge sind nicht bösartig. Entscheidend ist, ob ihre Nutzung zur Rolle des Kontos, zum System, zur Anwendung und zum erwarteten Kommunikationsverhalten passt. Moderne Abwehr gegen LOTL muss legitime Administration ermöglichen und zugleich den Missbrauch begrenzen.
Dafür braucht es zunächst Visibilität und Observability. Sicherheitsteams müssen wissen, welche Workloads miteinander sprechen, welche Verbindungen für den Betrieb erforderlich sind, welche Identitäten auf welche Systeme zugreifen und welche Pfade zu kritischen Assets führen. Statische Asset-Listen und klassische Netzwerkzonen reichen dafür meist nicht aus. Erforderlich ist ein aktuelles Lagebild, das Telemetrie aus Rechenzentren, Cloud-Umgebungen, Endpoints, Identitätsdiensten sowie Netzwerk- und Policy-Kontrollen zusammenführt.
Ein Security Graph kann diese Beziehungen sichtbar machen. Dann wird aus einem Alert eine Information mit Kontext: Ist das eine unerwartete Verbindung? Führt diese Verbindung zu einem kritischen System? Passt der Zugriff zur Rolle? Entsteht ein neuer lateraler Pfad? Muster wie unerwartete Verbindungen zwischen Workloads, ungewöhnliche Nutzung von Verwaltungsprotokollen oder Zugriffe außerhalb der üblichen Pfade können auf eine laterale Bewegung hindeuten, die ansonsten legitim erscheinen würde.
Angriffswege sichtbar machen und Reichweite begrenzen
Visibilität und Beobachtbarkeit allein reichen nicht aus, um einen Angriff abzuwehren. Wenn ungewöhnliche Aktivitäten erkannt werden, ist es entscheidend, deren Ausbreitungsmöglichkeiten einzuschränken. Hier kommen Zero Trust und Mikrosegmentierung ins Spiel. Das Ziel besteht darin, die Kommunikation auf das Nötigste zu beschränken: Es werden nur die Verbindungen zugelassen, die für den Geschäftsbetrieb erforderlich sind. Alles andere wird gesperrt oder explizit kontrolliert. Auf diese Weise wird das Prinzip der geringsten Berechtigungen von der Identitätsebene auf Workloads, Anwendungen und interne Kommunikationswege ausgeweitet.
Für LOTL-Angriffe ist diese Begrenzung entscheidend. Selbst wenn ein Angreifer ein Konto kompromittiert oder ein legitimes Tool missbraucht, kann er sich nicht beliebig weiterbewegen, wenn unnötige Pfade fehlen. Kritische Anwendungen, sensible Datenbestände, Backups und Identitätsdienste lassen sich isolieren. Verdächtige Verbindungsversuche werden sichtbarer, weil sie von den bekannten und erlaubten Verbindungen abweichen. Und im Ernstfall können kompromittierte Systeme gezielt isoliert werden, ohne die ganze IT abzuschalten.
![]()
„Living-off-the-Land-Angriffe nutzen das Vertrauen aus, das Unternehmen den Werkzeugen, Konten und internen Verbindungen entgegenbringen. Die wirksamste Antwort besteht nicht darin, dieses Vertrauen vollständig abzuschaffen. Sie besteht darin, es explizit, überprüfbar und begrenzt zu machen.“
Alex Goller, Illumio
Von der Erkennung hin zur Eindämmung
In Umgebungen, in denen Angreifer mit legitimen Tools operieren können, reicht Erkennung allein nicht mehr aus. Cyberresilienz hängt von der Fähigkeit ab, Sicherheitsverletzungen einzudämmen, und nicht allein davon, sie zu identifizieren.
Endgeräteschutz, Patching, Identitätsmanagement, Überwachung und Sensibilisierung der Benutzer sind nach wie vor unverzichtbar. Doch für sich genommen tragen sie kaum dazu bei, einen Angreifer daran zu hindern, sich innerhalb des Netzwerks weiter zu bewegen.
Wer nur auf schnellere Detektion setzt, behandelt vor allem den Moment des Alarms. Wer dagegen Kommunikationspfade kennt, Reichweite begrenzt und kritische Assets durch Segmentiert schützt, reduziert den Schaden schon vor dem Alarm.
Die zentrale Frage moderner Cybersicherheit lautet deshalb nicht mehr: Kann man jeden Breach, jede Kompromittierung der IT-Landschaft rechtzeitig erkennen? Sie lautet: Was kann ein Angreifer erreichen, bevor er gestoppt wird?
Living-off-the-Land-Angriffe nutzen das Vertrauen aus, das Unternehmen den Werkzeugen, Konten und internen Verbindungen entgegenbringen. Die wirksamste Antwort besteht nicht darin, dieses Vertrauen vollständig abzuschaffen. Sie besteht darin, es explizit, überprüfbar und begrenzt zu machen. Legitime Tools müssen weiterhin nutzbar bleiben. Aber ihre Reichweite darf nicht mehr unbegrenzt sein und jedem offenstehen. Nicht jeder Angriff lässt sich verhindern. Wohl aber lässt sich verhindern, dass ein einzelner kompromittierter Zugang zum Ausgangspunkt eines flächendeckenden Sicherheitsvorfalls wird.
Über den Autor:
Alex Goller ist Principal Solution Architect bei Illumio und hilft Unternehmen in dieser Position dabei, resilienter gegenüber Cyberattacken zu werden und ihre vorhandenen Multi-Cloud Infrastrukturen durch Visibilität und Segmentierung weiter abzusichern. Er verfügt über langjährige Erfahrung im IT-Sicherheitsumfeld und hat als Softwareingenieur Netzwerk- und Sicherheitssoftware entwickelt. Er kennt die IT-Sicherheitsherausforderungen von Unternehmen aller Branchen und Größen und sieht Automatisierung, Infrastructure as Code und Cloud-native Anwendungen als die nächste Evolution im Bereich IT-Sicherheit.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
